สรุปเหตุการณ์ Merlinlab และสิ่งที่ควรจะทำต่อไป

Merlin Lab แพลตฟอร์ม Auto-compound ที่ได้ประกาศปิดตัวไปแล้ว โดยอ้างสาเหตุว่าโดนโจมตีจากทางช่องโหว่ทางเทคนิคของโค้ด ต่อไปนี้คือสรุปเหตุการณ์ที่เกิดขึ้นทั้งหมด

1. เปิดตัวมาประมาน 2 เดือน (ตั้งแต่ 5 พค – 29 มิย)
2. TVL สูงสุดอยู่ที่ประมาน $200M
3. Audit โดย CertiK, Haechi, Hacken
4. Merlinlab deploy smart contract ใหม่ซึ่งทาง Merlin developer แจ้งว่าเป็นการ deploy เพื่อ test แต่ดันไป deploy บน mainnet (https://bscscan.com/tx/0xf0b57dbb5b3be9f10e68aa534931b16c9c2d83de49247bcac9d58baf30dc07f9)
5. ตัว contract ใหม่นี้เป็นเหตุให้เกิดช่องว่างซึ่งทำให้โดน attack และทำให้ราคา Merlin ร่วงลงอย่างหนัก ($14-$6)
   (First Attack (29/06/2021 – 14:24:29 UTC+7): https://bscscan.com/tx/0x3be6c0ab07d7fa03bca44b0d0aa4093e67dca2747278cf2951740f2cd8db5a0f
   Last Attack (29/06/2021 – 14:25:05 UTC+7): https://bscscan.com/tx/0x9d0f75824f85f108063f6d138aabadc5146d2e5cada3e7928568d6b2519f5068)
   (https://inspexco.medium.com/merlin-labs-incident-analysis-improper-mint-amount-calculation-on-mintfor-function-6a84c4fb0ec3)
6. ทีม Merlin หยุดไม่ให้มีการสร้างเหรียญเพิ่ม
7. ทีม Merlin ประกาศปิดให้บริการพร้อมแจ้งว่าปิดการฝากแต่ยังถอนได้ (https://t.me/merlinlab/66912)
8. ทีม Merlin เทขายเหรียญ (https://bscscan.com/txs?a=0x7c81ae47b3660a09d0f9ba01cfc196b16b4a9103&p=1)

ซึ่งทาง Bitcoin Addict ก็ไม่ได้นิ่งนอนใจ ในระหว่างนั้นเราก็ได้ทำการ

9. นำโพสต์เก่ากับลิงค์ต่างๆลงก่อน เพื่อป้องกันไม่ให้มีคนเข้าไปเพิ่มอีก
10. รอรายละเอียดเพิ่มเติม โดยติดต่อกับทางทีม Inspex เพื่อขอข้อมูล Incident report ทั้งหมด
11. ติดต่อหลังบ้านกับ Connection ต่างๆเพื่อหาทางช่วยเหลือนักลงทุนเท่าที่จะทำได้

สิ่งที่นักลงทุนควรทำตอนนี้

12. ถอน LP ออกจาก Merlin ให้ไวที่สุด (หากถอนปกติไม่ได้ลองใช้ JDI (https://www.jdiyield.com)
13. Revoke contract ที่เกี่ยวกับ Merlin ให้หมด (https://allowance.beefy.finance)
14. ถ้ามี Gov Token (Merl) เทขายให้หมด

สิ่งที่จะเกิดขึ้นหลังจากนี้

15. ทางทีม Bitcoin Addict จะพยายามตามเรื่องให้เท่าที่จะทำได้ ซึ่งเรื่องด่วนจริง ๆ คือช่วยทางไหนสำคัญสุด โดยเมื่อคืนเรามี 2 ตัวเลือก 1 คือนั่งเขียนสรุป กับ 2 คุยกับ connection ต่าง ๆ เพื่อหาทางช่วย ซึ่งทางเราเลือกคุยกับคอนเนคชั่น ระหว่างรอสรุปเหตุการณ์ที่ชัดเจนก่อน (เหมือนเคสก่อน ๆ หน้าเช่น Meerkat แม้ว่าเคสนั้นเราจะไม่ได้เป็นผู้รีวิวก็ตาม)
16. ในส่วนของการรับโปรโมต โปรเจค Merlin ได้ผ่าน Audit 3 เจ้า พร้อม TVL 200m และรันมาเกือบ 2 เดือนแล้ว ทางเราจึงยอมรับในการรีวิว ซึ่งเราก็ได้มีการแจ้งเตือนในบทความแล้วว่า “การที่แพลทฟอร์ม DeFi มีการ Audit แล้วไม่ได้แปลว่าจะปลอดภัย 100% เสมอไปแต่ถือว่าได้รับความน่าเชื่อถือในระดับหนึ่งเท่านั้น” แต่จากเหตุการณ์นี้ ในอนาคตเราจะต้องเพิ่มเงื่อนไขอื่นๆประกอบเพิ่มขึ้นในการรับพิจารณารีวิวแพลตฟอร์มต่างๆ
17. หลังจากนี้หากมีโปรเจคไหนอยากลงกับทางเราจะต้องผ่านการ Audit + KYC (พร้อมยอมรับให้เปิดเผยข้อมูลหาก Platform มีปัญหาอะไรแบบนี้) หรือต้องมี Recommendation Letter จากบุคคลหรือองค์กรที่ได้รับการยอมรับในสังคม (พร้อมให้เปิดเผยได้หากเกิดเหตุการณ์เช่นกัน)

ทางเราต้องขออภัยด้วยที่ไม่ได้ลงข่าวอย่างรวดเร็วในตอนแรก เนื่องจากเหตุการณ์เกิดขึ้นช่วงดึก และจำเป็นต้องมีการตรวจสอบรายละเอียดให้ชัดเจนก่อนที่จะ public ข้อมูลอะไรออกไป หากผิดพลาดประการใด ต้องขออภัยมา ณ ที่นี้ด้วย